containerd是一个轻量、工业级标准的容器运行时,负责管理容器的生命周期管理。
本文介绍containerd运行时的变更记录。
2026年03月
| 版本号 | 变更内容 | 变更影响 |
| 2.2.1 | - 功能特性
- 支持NRI(Node Resource Interface)能力,已在containerd配置中默认启用。
- 支持CDI(Container Device Interface)能力,已在containerd配置中默认启用。
- 支持Sandbox API。
- 废弃功能和API
- 废弃配置registry.auths、registry.configs、registry.mirrors。
- 不再支持Docker Schema 1镜像,例如application/vnd.docker.distribution.manifest.v1+json 或 application/vnd.docker.distribution.manifest.v1+prettyjws,拉取时会被拒绝。请参见检查是否存在Docker Schema 1镜像进行识别。
- io_uring_* 从containerd的默认Seccomp配置文件中移除。容器默认没有权限进行io_uring_*系统调用。
- 移除CRI v1alpha2 API。Kubernetes自1.26起开始弃用该API,containerd 2.2随之同步移除。
- kubernetes上游功能特性
- 支持用户命名空间 (User Namespaces):通过底层的隔离技术,允许 Pod 内的 root 用户映射为主机上的非特权用户。这大幅提升了容器的安全隔离性,同时 Kubernetes 会相应地放宽对此类 Pod 的安全标准限制(如 runAsNonRoot 检查),注意:该特性还依赖linux 6.3+内核,请确认内核支持情况,推荐使用HCE 3.0。
- 支持容器镜像卷 (Image Volumes):支持将 OCI 镜像的内容直接作为数据卷(Volume)挂载到 Pod 内部。借助 containerd 的支持,您可以复用镜像仓库的分发能力来下发静态配置、模型文件或构建产物,而无需将其作为独立容器运行(注:自 K8s 1.33 起进一步支持 subPath 挂载)。
| 此次升级不会对业务造成影响。 |
2025年11月
| 版本号 | 变更内容 | 变更影响 |
| 1.7.29 | - 依赖升级:
- 升级runc至1.3.3版本。
- 升级Go至1.24.10版本。
- 缺陷修复:
| 此次升级不会对业务造成影响。 |
